15 preguntas tema 3 ciberseguridad en entorno...

En el modo de adquisición dead: Se debe desenchufar el cable de corriente del ordenador. La recopilación de los datos de almacenamiento volátil es más fiable. No se permite realizar una clonación exacta del estado del dispositivo. Hay que apagar el ordenador de forma ordenada.

En el proceso de copiado de un disco a otro dispositivo es falsa la afirmación: Las copias deben ser bit a bit. Sí es posible utilizar medios comunes. Copiar los datos y los espacios, excluyendo los sectores defectuosos. Realizar un borrado seguro, repitiéndolo incluso 35 veces.

Indica cuál es una característica de la matriz MITRE ATT&CK: La matriz informa sobre mitigaciones aplicables a los ataques que utilizan una técnica concreta. Muestra un número ilimitado de tácticas usadas por los atacantes. Dentro de cada técnica informa de las tácticas, las cuales identifican la forma de realizar las acciones. ATT&CK es integrable únicamente con los productos de MITRE y de Elastic.

Indica la afirmación incorrecta con respecto al plan de respuesta a incidentes: El plan de respuesta a incidentes incluirá unas primeras medidas de contención que no pueden ser fruto de la improvisación. El plan de respuesta a incidentes incluirá unas primeras medidas de contención para eliminar de manera definitiva y rápida la amenaza. El plan de respuesta a incidentes permitirá manejar el incidente evitando dar pasos innecesarios a costa del tiempo. El plan de respuesta a incidentes establece los pasos que se deben tomar en cada fase, así como su responsable.

Las metodologías de análisis forense informático han de ser: Inverosímiles. Irrepetibles. Irreproducibles. Independientes.

No es cierto que la guía RFC 3227 recomiende sobre la cadena de custodia: Documentar por quién fue descubierta la evidencia. Documentar el propietario legítimo de la evidencia. Documentar el número del envío si la evidencia se remite a otro lugar. Documentar cuándo se ha almacenado la evidencia.

Para evitar la difusión de secretos es habitual que a una investigación forense se le asocie un acuerdo: ISA. MAEC. NDA. MISP.

Se recomienda registrar la hora en que se recopila una evidencia usando como referencia la hora: Local. UTC. CT. CEST.

¿Cuál de estas pistas es incorrecta para detectar un correo de phishing?. Contiene enlaces que no coinciden con el dominio del correo electrónico. En la redacción del correo suelen aparecer errores gramaticales o faltas de ortografía. Incluye adjuntos que no se esperaban. Incluye adjuntos que no se esperaban.

¿Cuál de los siguientes datos se considera medianamente volátil?. Topología de red. Caché. Memoria RAM. Archivos temporales.

¿Cuáles de las siguientes normas estándares o guías no son aplicables en el proceso de recolección de evidencias?. UNE 71505-2:2013. ISO/IEC 27001. RFC 3227. UNE 70506:2013.

¿Cuáles son las cinco fases del análisis forense?. Adquisición, preservación, análisis, documentación y presentación. Adquisición, preservación, análisis, documentación y defensa. Adquisición, recopilación, análisis, documentación y presentación. Adquisición, recopilación, análisis, presentación y defensa.

¿Qué afirmación es incorrecta con respecto a los sandbox?. El entorno de pruebas tiene su propia red, la cual se comunica con el sistema real para compartir los resultados. Existe software malicioso capaz de alterar su comportamiento para no ser detectado por un sandbox. Se puede probar a abrir archivos sospechosos de malware para ver cómo se comportan. Pueden incluir componentes hardware.

¿Qué algoritmo hash se suele utilizar para asegurar la integridad de las copias?. SHA-256. MD5 junto a SHA-1. MD5. SHA-1.

¿Qué son los indicadores de compromiso?. Características que indican que una evidencia está comprometida y por lo tanto no puede ser una prueba válida. Elementos que contienen información que podría ser relevante o no para la investigación. Rastros, en forma de ficheros, procesos, claves de registros, etc., que indican que se está produciendo o se ha producido un incidente de ciberseguridad. Técnicas que utilizan los equipos de seguridad para contener los incidentes y minimizar así el daño en los sistemas.